关注我们,学习更多隐私合规讯息
如果你认为“我符合 ISO 27001 标准……” 所以,我几乎符合 GDPR 要求。” 好吧,你不是!这是一个常见的误解,我们将在本文中告诉你原因。
对两者常见的理解
《通用数据保护条例》(GDPR) 涉及保护欧盟 (EU) 数据主体(个人)的隐私权,而 ISO 27001 则涉及提供持续改进组织的信息安全管理系统 (ISMS) 的措施。
在开始 ISO 27001 与 GDPR 比较之前,我们先来了解一下 ISO 27001 和 GDPR 是什么。
什么是 ISO 27001?
ISO 27001侧重点
ISO 27001 强调数据保护ISO 数据保护侧重于:
信息安全管理
更换管理层
公司流程
员工流程
人力资源流程
安全与加密
ISO 27001 反映了企业在安全和数据保护方面的成熟度,并表明他们致力于投入时间、资本和资源来持续维护它。
它还使组织能够预见他们可能承担的安全风险并帮助他们进行规划。以下是 ISO 27001 核心原则的总结
资产管理
组织应识别他们处理的不同信息资产,并分配安全措施以在受保护的环境中管理这些资产。该原则侧重于资产清单、资产的可接受使用、所有权和资产返还。
访问管理控制
操作安全
事件管理
无论企业的防御措施如何,安全事件/网络攻击都无法避免。ISO 27001 要求组织制定适当的政策和程序来处理安全事件。为此,
每个希望获得 ISO 27001 认证的企业都必须:
定义主要工作是处理安全事件的角色
识别并报告其业务环境中可能导致安全事件的所有漏洞
定义一个流程来评估事件的性质和影响(如果发生)
部署预定义的事件响应计划(违规通知加风险缓解)
记录事件发生期间和之后你的学习情况
收集可能与事件相关的所有证据
概要
ISO 27001 帮助企业增强安全措施,以保护自己免受任何可能造成潜在危害的风险。它旨在将业务需求置于其处理的个人数据之前。
相比之下,GDPR 侧重于保护数据主体免受企业侵害的权利。GDPR 和 ISO 27001 之间的差异很容易被忽视,因为它们有重叠的相似之处。让我们仔细看看 GDPR 法律。
如何学习ISO 27001?学习IAPP课程并得到业内的专业认证的认可,我是否满足考试资格?戳戳下方立即评估!
什么是 GDPR?
GDPR 法于 2016 年 5 月推出,并于 2018 年起全面生效。GDPR旨在保护数据主体(个人)的权利和自由以及组织在处理数据主体(个人)的个人信息时应实施的措施和政策。GDPR 通过七项原则解释了这一点:
合法、公平、透明
企业必须合法获取数据。他们必须对用户透明地告知他们打算如何处理它以及打算使用它多长时间,并且用户不应在任何这些方面受到误导。
目的限制
企业必须出于特定的既定目的收集数据,之后不得仅仅因为仍然可以访问数据而将其处理用于任何其他处理活动,并且数据收集过程不得非法。
数据最小化
在收集敏感个人信息时,企业应仅收集其数据处理活动所需的数据集。
准确性
企业有责任保存和处理准确的数据。当数据主体报告不准确或请求更改其数据时,公司自请求之日起有三十天的时间实施更改。
存储限制
根据 GDPR 法律,企业存储数据的时间不得超过最初预期。
完整性和保密性(安全)
企业必须采取必要的措施,确保数据主体的个人信息不会被未经授权的用户(内部和外部)访问。
问责制
所有处理敏感个人信息的控制者和处理者在处理欧盟公民和居民的个人数据时必须证明 GDPR 合规性。
概要
GDPR 的重点完全是保护欧盟地区数据主体的权利和自由。GDPR 原则列出了组织在处理个人数据时应遵循的注意事项。数据主体还被赋予权利,使他们能够控制其个人数据的处理方式。决定多少数据处理是侵入性的权力掌握在用户手中,并拥有删除权和准确性权。
如何学习充分了解欧盟隐私合规法?学习CIPP/E课程,其重点关注隐私法律法规的实际应用,了解欧洲数据保护导论、欧洲监管机构等知识及考核
GDPR 与 ISO 27001 有何差异?
这是 GDPR 与 ISO 27001 的比较
GDPR 和 ISO 27001 之间的区别
GDPR 和 ISO 27001的侧重点
GDPR 旨在保护个人信息的
自由和权利以及敏感数据的流动
GDPR强调合法的数据收集,让用户明确同意共享信息,遵循GDPR的七项原则处理用户数据,并在需要时任命数据保护官(DPO)。ISO 27001 中没有具体说明这些内容。
ISO 27001 旨在帮助组织
保护其数据的安全性和完整性
其目的是制定并帮助组织满足建立、实施、持续监控和改进其 ISMS 的全球要求。
ISO 27001 中谈到了安全性,但重点更多的是保护组织的信息资产。当GDPR谈论安全时,它是从关注个人数据安全的角度出发的。但这仍然不是 GDPR。
GDPR 中涉及安全的七项原则之一
GDPR 七项原则中只有一项谈到安全性,大约占 14%。其余七项原则详细介绍了如何处理用户数据的其他方面以及确保数据主体的隐私和完整性始终不受影响的规定。
风险的定义
GDPR 法律中的风险并未讨论企业在处理个人信息时所承担的风险,而是强调用户所面临的风险(基本权利和自由的风险)。同时,ISO 27001 和 ISO 27002(构成ISO 27001 控制措施的信息安全指南集合)讨论了组织在数据处理活动期间承担的风险。
采用
GDPR 是强制性的,因此适用于欧盟的公司。相比之下,ISO 27001 是自愿性的。
处罚
如果你的业务属于GDPR 范围,你将需要遵守。违规成本很高,行政罚款高达 2000 万美元或企业年营业额的 4%(以较高者为准)。另一方面,如果你不符合 ISO 27001,则不会受到处罚。
ISO 27001 是否涵盖 GDPR?
ISO 27701 并
不是 ISO 推出的独立框架
企业如何选择合适的合规人才?
企业如何选择合适的合规框架?如何选择合适企业的合规人才?可以选择有考取ISO 27701 及 GDPR认可的相关证书的合规人才,IAPP国际隐私协会是典型又具备行业认可的隐私合规证书之一。
IAPP证书含金量究竟有多高?点击下方视频,听老师讲述一下IAPP的证书作用及市场认可度
1
认证信息隐私专家 (CIPP)
国际隐私专业人士协会 (IAPP) 提供最全面、最新且最受欢迎的全球隐私和数据保护培训和认证计划:CIPP,其重点关注隐私法律法规的实际应用。
标准认证:
IAPP CIPP 获得 ANSI / ISO 标准 17024:2012 标准认证
适用于以下人群:
建议负责信息管理、合规性、法律要求、数据治理和人力资源的数据保护和安全专业人员使用。
由于合规法规因地点而异,CIPP 计划还提供四个专业,每个专业都与特定的全球区域相关:
CIPP/A(亚洲)
CIPP/E(欧洲)
CIPP/US(美国)
CIPP/C(加拿大)
2
认证信息隐私经理(CIPM)
IAPP CIPM认证,该认证侧重于开发、实施、维护和管理隐私计划。CIPM则主要满足隐私项目生命周期内风险管理、隐私运行、审计与追责、隐私分析等方面的需求。
标准认证:
IAPP CIPM 已获得 ANSI / ISO 标准 17024:2012 认证
适用于以下人群:
该认证专为日常实施和管理隐私法规的专业人员以及参与风险管理、隐私管理、审计或隐私分析的专业人员而设计
由于中国考生人数逐年增加,CIPM在2022年7月起增加了中文考试的选项。
3
认证信息隐私技术专家 (CIPT)
标准认证:
CIPT 已获得 ANSI / ISO 17024:2012 标准认证。
适用于以下人群:
该认证适用于软件开发、信息技术和信息安全专业人员,因为它侧重于从技术角度理解数据隐私,对该类人群能起到很大的作用。
IAPP国际隐私专业证书报考条件
✅IAPP国际隐私证书目前不限专业,不限学历,在读生均可参与考试。所以,大家在校的时候就可以报名。
IAPP考试 | 考试 时间 | 考试地点 | 考试形式 | 考试 时长 |
| 一年多次 | Pearson VUE国际考试中心授权考 点国内一线城市基本都有考点。 | 机考,按照考试类别分别有85-90道单选题 (其中15-25道不计分) 主要为英文考试,部分认证 如CIPP/E、CIPM也提供法文和德文考试。PS:CIPM有中文考试 | 150分钟 | |
| 证书申请:通过考试之后,4-6周能拿到电子版证书,协会不提供纸质版证书的申请。 | ||||
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
国际隐私专业协会究竟是什么?点击下方视频,听老师讲述一下国际隐私协会的起源及发展,以及IAPP证书在隐私行业的影响力
文章整理于sprinto.com,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
更多课程在线听讲
学员经验
往/期/回/顾
■ DEPTH
想了解IAPP哪个证书适合你?
一起听老师讲IAPP证书选择
全套资料长按扫码领取
■ DEPTH
IAPP全套资料小程序领取
IAPP 国际隐私证书能考吗?
测一测是否满足IAPP报考资格
■ DEPTH
什么是IAPP国际隐私证?
一起了解IAPP证书
-End-
■ DEPTH
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料
24小时贵宾咨询热线:400-115-9589
扫码关注公众号咨询
威普网校APP
学习由你“掌”握
iPhone/IPAD
威普网校APP
学习由你“掌”握
Android手机
